Zurzeit werden mehr Bilder und Videos vom Arbeitsplatz im Netz gezeigt als sonst – das Homeoffice und zahlreiche Videokonferenzen laden geradezu dazu ein, Fotos dieser Situationen mit Freunden oder Kollegen, aber auch in öffentlichen Netzwerken zu teilen. Darüber können jedoch versehentlich vertrauliche Informationen preisgegeben werden, die Cyberkriminelle für gezielte Phishing-Attacken nutzen können.
Nutzung von Social Media im Unternehmenskontext
In vielen Unternehmen gehören die sozialen Netzwerke heutzutage zum Standard der Unternehmenskommunikation. Facebook, Twitter und Co, aber auch insbesondere berufliche Netzwerke wie LinkedIn oder Xing – Fast jedes Unternehmen ist heutzutage auf mindestens einer dieser Plattformen präsent. Die bei Unternehmen weltweit beliebtesten Plattformen sind Facebook und das Businessportal LinkedIn, welches von 98 Prozent der Top-500-Unternehmen weltweit genutzt wird.
Je mehr Auftritte eines Unternehmens in den sozialen Medien betreut werden müssen, desto komplexer wird das Informationsmanagement. Die Kommunikation von Inhalten und der Umgang mit Daten und Informationen erstreckt sich über mehrere Kanäle und kann daher immer weniger zentral gesteuert und kontrolliert werden. Mehrere Mitarbeiter händeln die Informationen über mehrere Kommunikationskanäle hinweg. Da gilt es, klare Richtlinien zu entwickeln und umzusetzen, um die Sicherheit von sensiblen Daten und Informationen zu gewährleisten.
Social Media: Private und berufliche Nutzung verschwimmen immer mehr
Zusätzlich zu den unternehmenseigenen Nutzerprofilen sind aus Perspektive der Informationssicherheit auch die „privaten“ Profile der Mitarbeiter zu berücksichtigen. Denn Mitarbeiter, die online kommunizieren, repräsentieren immer auch das Unternehmen – insbesondere dann, wenn sie als Mitarbeiter des Unternehmens zu identifizieren sind. Was und wie kommuniziert wird, spricht dann immer auch für die Firma.
Hinzu kommt, dass der private und der berufliche Bereich immer mehr verschwimmen. Ganz besonders in der aktuellen Zeit, in der viele Unternehmen sich zu der kurzfristigen Ermöglichung der Arbeit von Zuhause gezwungen sahen. Zurzeit werden vielerorts private Geräte und Zugänge für den Job genutzt – oder berufliche Ressourcen privat eingesetzt. Diese Vermischung kann ungewollt zu einer Bedrohung für das Netzwerk des Arbeitgebers werden.
Wenn nämlich das Gerät, von dem aus man „privat“ auf einen infizierten Link klickt, einen Zugang zum Firmennetzwerk ermöglicht, können sich Cyberkriminelle „bequem“ wertvolle Zugriffe erschleichen. Das ist gefährlich, denn im privaten Kontext gehen viele Menschen tendenziell sorgloser mit Daten und Informationen um. Häufig werden beispielsweise dieselben Zugangsdaten für unterschiedliche Nutzerprofile verwendet. Verschafft sich hier jemand Unbefugtes einmal Zugang, ist der Schaden kaum abzuschätzen.
Informationssicherheit im Umgang mit Social Media
Abgesehen von der aus Informationssicherheitsperspektive gefährlichen Vermischung privater und beruflicher Nutzung, kann es verstärkt durch das Homeoffice zu weiteren Sicherheitsrisiken kommen. Screenshots oder Ausschnitte aus Videokonferenzen, die auf der einen Seite Persönlichkeit schaffen und oft zur Unterhaltung geteilt werden, können ungewollt Daten preisgeben – durch sichtbare Informationen im Hintergrund der Personen oder im Kontext des Screenshots.
Cyberkriminelle sind immer auf der Suche nach solchen Informationen, um daraus gezielte Angriffe auf Unternehmen zu entwickeln. Nach wie vor wird immer noch der Mensch als schwächstes Glied der Sicherheitskette identifiziert und sich durch manipulative Social Engineering Techniken Zugang zu sensiblen Daten und im Anschluss dem Firmennetzwerk verschafft. Insbesondere die sozialen Netzwerke sind eine beliebte Informationsquelle und Gelegenheit für Cyberkriminelle.
Wie Cyberkriminelle auf Social Media agieren
Prinzipiell gibt es zwei Wege, wie Cyberkriminelle auf Social Media agieren. Das eine Vorgehen ist das Sammeln von Informationen für einen zugeschnittenen Angriff, das andere die geschickte Verbreitung von infizierten Links über Social Media, um sich darüber Zugang zu Systemen zu verschaffen.
1) Informationen sammeln für einen gezielten Angriff
Der erstgenannte Vorgang läuft so ab, dass Cyberkriminelle gezielt nach Fotos von Mitarbeitern eines Unternehmens suchen, auf denen Notizen auf Whiteboards, offene Dokumente oder gar Passwörter zu erkennen sind. Je mehr Informationen über ein Unternehmen in Social Media zu recherchieren sind, desto gefährdeter ist das Unternehmen für einen gezielten Cyberangriff. Denn diese Informationen können dazu genutzt werden, um sehr echt wirkende Phishing-Mails zu verfassen.
Der harmlos wirkende Klick auf einen Link oder Anhang kann dann schnell zum Einfallstor für Malware werden. Das Gefährliche an diesem Vorgehen ist, dass die Attacken kaum als solche zu erkennen sind und durch die unternehmensspezifischen Informationen äußerst echt wirken. Ohnehin sehr authentisch arbeitende Trojaner wie Emotet können mit solchen einfach zu beschaffenden Zusatzinformationen aus Social Media zusätzlich befeuert werden.
2) Verbreitung infizierter Links
Der zweite Weg, wie Cyberkriminelle Social Media nutzen, ist die direkte Verbreitung infizierter Links. Social Media lebt von der Interaktion der Nutzer und interessante oder aufsehenerregende Nachrichten werden rasend schnell vielfach geteilt. Bevor jemand feststellt, dass es sich um einen infizierten Link handelt und den Post sperren lässt, ist es für zahlreiche Nutzer bereits zu spät.
Dieser Aspekt entwickelt zurzeit in der Coronakrise nochmals besondere Tragweite, da der Bedarf nach Informationen so groß ist, dass vermeintliche Neuigkeiten noch schneller geteilt werden. Nutzer in einer ungewohnten Situation wie die Aktuelle sind einfacher zu täuschen. Diesen Aspekt haben wir bereits in unserem Artikel „Wie Cyberkriminelle die Angst vor dem Coronavirus ausnutzen“ ausführlich beleuchtet.
Richtlinien und eine grundsätzliche Achtsamkeit im Umgang mit Social Media
Die Informationssicherheit bei Social Media betrifft daher immer zwei Seiten: Auf der einen Seite geht es darum, die Verbreitung vertraulicher Informationen zu verhindern. Und auf der anderen Seite sollen die Mitarbeiter geschützt und entsprechend geschult werden, um nicht durch das eigene Handeln beispielsweise Schadsoftware auf das Gerät zu laden.
Diese beiden Maßnahmen sollten zusätzlich zu klassischen Sicherheitsmaßnahmen wie Firewalls, E-Mail-Filter oder Antivirensysteme in klaren Richtlinien festgehalten und mit Schulungen ergänzt werden. Denn diese technischen Maßnahmen bieten zwar eine grundsätzliche Sicherheit, nehmen jedoch dem Handeln der einzelnen Mitarbeiter nicht die Verantwortung. Denn gerade im Social Media Umfeld gelangt schnell neue Malware im Umlauf, die von Systemen nicht unbedingt als solche erkannt wird. Hier gilt es, dass der Einzelne sensibilisiert ist für die Risiken und die typischen Vorgehensweisen der Cyberkriminellen.
5 Tipps zum Umgang mit Social Media in Unternehmen
Die Sicherheitsrichtlinien zum Umgang mit Social Media sollte immer eingebettet sein in die Gesamt-Sicherheitsstrategie des Unternehmens. Bei den Richtlinien zur Nutzung von Social Media müssen jedoch einige Dinge besonders beachtet werden. Im Folgenden fünf konkrete Tipps, die zu einem sicheren Umgang mit Social Media im Unternehmen beitragen.
1) Mitarbeiter regelmäßig schulen und sensibilisieren
Die regelmäßige Schulung von Mitarbeitern ist einer der wichtigsten Aspekte für eine gute Informationssicherheit im Unternehmen. So werden die Personen, die die Richtlinien am Ende des Tages in die Tat umsetzen sollen, direkt geschult und für die potenziellen Risiken sensibilisiert. Hierfür bieten sich grundsätzliche Awareness Schulungen an und ergänzend Schulungen speziell für den Umgang mit Social Media.
2) Private und berufliche Nutzung klar abgrenzen
Ein generelles Verbot für die Nutzung von Social Media ist selten zielführend, da die Netzwerke immer mehr Bestandteil der Unternehmenskommunikation werden. Für viele Unternehmen kann es sehr wertvoll sein, die eigenen Mitarbeiter gezielt in die externe Kommunikation einzubinden. Daher sollte in klaren Guidelines festgehalten werden, inwiefern Social Media beispielsweise während der Arbeitszeiten genutzt werden darf und wer bzw. welche Gruppen an Mitarbeitern in Social Media für das Unternehmen sprechen.
3) Direkte Ansprechpartner definieren
Für allgemeine und auch konkrete Fragen im Umgang mit Social Media sollte es feste Ansprechpartner wie einen Informationssicherheitsbeauftragten geben. Wenn es jemanden gibt, den man im Zweifel fragen kann, werden viele potenzielle Risiken ausgeschlossen. Über kurze Kommunikationswege mit einem klaren Ansprechpartner können Unsicherheiten, z.B. über die Veröffentlichung einer bestimmten Information, schnell aus dem Weg geräumt werden. Solche Prozesse können verhindern, dass Informationen unbedacht geteilt werden.
4) Vertrauen und Offenheit fördern
Neben den nötigen und sinnvollen Regelungen ist es gerade in Bezug auf Social Media wichtig, das eigenverantwortliche Verhalten der Mitarbeiter zu fördern. Ein übertriebenes Regulierungs- und Kontrollkonstrukt kann einen natürlichen und für den Unternehmenserfolg durchaus förderlichen Umgang mit Social Media ausbremsen. In einer von Ehrlichkeit und Vertrauen geprägten Firmenkultur kann Social Media hingegen erfolgreich und authentisch eingesetzt werden.
5) Kommunikationswege kennen und den Überblick behalten
Social Media ist sehr schnelllebig. Deshalb ist es wichtig, in regelmäßigen Abständen die Richtlinien auf ihre Aktualität zu prüfen und gegebenenfalls anzupassen. Zusätzlich ist es sinnvoll, von Zeit zu Zeit selbst die Informationen zu prüfen, die im Netz über das eigene Unternehmen zu finden sind. Mit dieser „Perspektive von außen“ lassen sich weitere Maßnahmen besser beurteilen und in einen Kontext setzen.
Hinweis: Unser beliebtes Seminar zum Informationssicherheitsbeauftragten bieten wir ab sofort auch als ortsunabhängiges Webinar an! Sichern Sie sich jetzt einen Platz für den nächsten Termin am 15.-19.06.2020 – Wir freuen uns auf Sie!
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security